中学校园网络建设专项方案.doc

数字化校园网络建设方案 目录 1 普教数字化校园建设和应用概述 3 1.1 数字化校园概述 3 1.2 数字化校园应用现实状况 3 1.3 数字化校园发展阶段及趋势 4 2 xxx中学网络需求分析 5 2.1 XXXXX中学网络现实状况 5 2.3.1 需求不间断基础网络平台 5 2.3.2 需求易管理网络运维 5 2.3.3 需求安全报障 6 2.3.4 需求统一身份认证 6 2.3.5 需求单点登录、统一信息门户 6 3 XXXXX中学数字校园建设设计 6 3.1 数字校园整体架构 6 3.2 XXXXX中学改造网络拓扑 7 4 XXXXX中学数字校园网络处理方案 8 4.1 关键网络设计 8 4.1.1 关键网建设 8 4.2 接入设计 12 4.3 学校网络出口设计 13 4.3.1 出口智能流控审计 13 4.4 无线网设计 14 4.4.1 无线计划 14 4.4.2 无线信息统计 17 4.5 安全设计 18 4.5.1 数字化校园安全设计思想 18 1 普教数字化校园建设和应用概述 1.1 数字化校园概述 现在，什么是数字化校园尚没有一个明确定义，但相对使用较多一个定义是：以网络为基础，利用优异信息手段和工具，将学校各个方面，从环境（包含网络、设备、教室等）、资源（图书、讲义、课件等）、到活动（包含教、学、管理、服务、办公等）数字化，逐步形成一个数字空间，从而使校园在时间和空间上取得延伸，在现实校园基础上形成一个虚拟校园。数字化校园意在用层次化、整体性见解来实施校园信息化建设，利用校园网把教学资源和管理信息愈加好地组织分类，为教学工作提供基于网络环境信息化教学平台，为管理、科研工作提供基于网络环境信息化管理平台。 1.2 数字化校园应用现实状况 XXXX在全国做了近2万个中小学项目，同时，进行大量现场调研工作，依据现在学校业务应用使用情况，大致上把业务系统分为三类，教学管理、行政管理及特色应用等。 行政管理中业务系统服务端大部分在信息中心，学校作为用户端使用，关键是为了提升行政管理效率，包含OA办公、一卡通、人事管理、财务管理等；教学管理中大部分业务系统各个学校全部会独立建设，关键是为了提升教学管理质量，包含数字广播、备课系统、多媒体录播系统等，实际上，现在行政管理和教学管理业务系统基础上各地全部已经建设了，差异在于，特色应用中业务系统各个学校依据自己情况建设侧关键不一样，如各地现在关注度比较高特色业务系统包含网上阅卷系统、多媒体录播系统、同时课堂等。 1.3 数字化校园发展阶段及趋势 校园数字化建设不可能一蹴而就，它实现是一个长久努力过程，从全国数字化校园现实状况和发展趋势分析，数字化校园建设经历了四个阶段，包含网络集成、系统集成、应用集成、数据集成共四个阶段。 第一阶段网络集成，关键以基础网络建设为主，大部分一般中小学处于网络集成这一阶段，考虑是基础网络怎样建设，如怎么建设有线校园网、无线校园网、校园网安全加固等。 第二阶段系统集成，以业务系统建设为主，大部分关键中小学处于这一阶段，考虑业务系统怎样建设，如一卡通系统，是作为刷卡消费，还是门禁控制、电梯控制，课程管理、多媒体录播系统怎么建设，怎样监控这些业务系统运行，业务系统数据安全确保等。 第三阶段应用集成，关键是做统一身份认证平台、单点登陆系统等，信息化做比很好关键中小学在计划应用集成，怎样把有线、无线、远程VPN等多种不一样接入方法统一纳入一个平台进行管理，多媒体录播、OA系统、视频监控等一系列业务系统，怎样实现单点登陆，方便师生使用。 第四阶段：数据集成，关键实现数据开发标准、数据结构统一，实现各个业务系统间数据实时共享，因为数据集成包含到应用系统大量开发工作，周期长，投入大，现在，普教学校包含应用集成方面比较少。 2 xxx中学网络需求分析 2.1 XXXXX中学网络现实状况 网络部分采取二层架构，学校网络机房交换机全部采取旁挂傻瓜接入交换机，现在网络无可视化网络管理能力。 关键机房交换机和办公机房交换机经过光猫收发设备连接。现场勘察了解到，关键设备因为接口受限制，无法进行扩容。 学校无线为电信建设，采取室分布署模式，信号覆盖强，但并发用户多时候体验差。且不能进行实名认证，不能满足学校现今网络需求。 因为带宽出口有限，网络出口设备没有进行流量控制和审计，校园内老师网络体验差。 2.3.1 需求不间断基础网络平台 稳固硬件平台是整个学校信息化建设基础，犹其大数建设地基，决定了学校未来信息化建设档次。XXXXX中学属于xx市关键师范小学，必需含有5-前瞻优异性硬件支撑平台需要实现7x24x365连续不间断运行。 2.3.2 需求易管理网络运维 很多中小学数字化校园网络现实状况是，学校设备多，系统多，问题多，人员少；设备多，包含交换机，防火墙，路由器等；系统多，包含OA系统、邮件、课程管理系统、多媒体录播系统等。通常只有1-2个信息技术老师进行相关管理维护工作，怎样保障学校信息化应用稳定运行呢？实际上，业务支撑平台运维和管理需要处理三个方面问题。 Ø 当领导或弟兄单位进行参观时，能可视化展示学校信息化结果。 Ø 实时了解信息化建设现实状况，为学校升级改造提供支撑 Ø 帮忙快速定位故障，处理日常管理维护问题。 IT信息系统发挥价值很大程度上取决到日常运维。但IT系统是包含硬件、业务系统、数据库、中间件、机房等众多原因，众多品牌信息系统，极为复杂。同时试验学校管理老师人员较少，配套采取服务外包模式，然而外包人员服务水平参差不齐，服务质量难以保障，面向未来，学校在信息化运维方面将面临较大压力。 所以，学校需要建设良好网络系统综合管理平台，实现IT运维信息化，使IT系统稳定、可靠、安全运行，运维工作步入一个有序、规范层次，使IT系统愈加好为业务系统提供服务，从而提升整体运行效率，提升运行服务水平和档次。 2.3.3 需求安全报障 怎样满足公安、上级部门安全检验要求？学校门户网站、资源系统被挂马或被篡改？接入不可控，安全隐患怎么处理？安全不是孤立，怎样形成整体安全体系？ 业务支撑平台安全部分关键是打造“全方位立体安全保障体系”，为学校信息化保驾护航！ 2.3.4 需求统一身份认证 有线、无线、VPN等网络设备接入用户分散，公共认证平台关键提供统一身份认证平台。 2.3.5 需求单点登录、统一信息门户 伴随学校信息化建设不停完善，学校将会拥有多种多样应用系统，各类业务还会不停建设和计划。用户必需记住多个用户用户名和密码，和不一样业务系统 URL 链接，造成了很多不便。 所以，提议学校建立统一门户平台，同时提供了一站式单点登录功效，即经过用户一次性判别登录，可取得需访问系统和应用软件授权，实现“一次登录、随地访问/全网漫游”；从而提升用户工作效率，提升用户满意度。 3 XXXXX中学数字校园建设设计 3.1 数字校园整体架构 结合XXXX校园网建设经验和教育信息化教授分析，经过大量调研，提出数字化校园3+N+1整体架构，3表示3个平台，基础设施平台、应用支撑平台、公共认证平台，1指是经过单点登录实现1个统一门户，N指是关键中小学N个业务系统。以下图： 数字化校园建设关键是教育信息化业务系统建设，业务系统向下由三个平台进行支撑保障，向上形成单点登录、统一门户，为学生、老师、领导、家长、公众等提供服务。 基础设施平台，包含软件、硬件、PC、服务器、有线、无线等基础设施平台建设。 应用支撑平台包含数字化校园整体安全考虑、整个信息化业务运维管理等。 公共平台关键包含统一身份认证平台、权限管理系统等平台建设。 统一门户是整个数字校园访问入口点，给用户提供个性化使用界面，用户进入门户后，除了能够看到公共信息外，只能看到和其身份相关各项服务，成为用户个性化网络门户。 N个业务应用系统，是指用于学校教学、科研、管理、服务多种应用系统，用于处理各类用户对信息管理和信息服务需求，是信息化建设关键内容。 数字化校园愈加好支撑学校信息化应用，还需要做好“数据信息标准”及“运行管理保障体系”两个方面，运行保障包含组织机构、人员培训、管理规范等，信息标准包含技术标准（应用开发）、数据结构标准、信息化评定体系等。 3.2 XXXXX中学改造网络拓扑 数字化校园整体架构中，XXXX包含到基础网络平台、公共认证平台、运维支撑平台及单点登陆统一信息门户建设，具体以下： 一、基础网络平台包含有线、无线、关键平台、网络出口等基础网络建设。 二、公共认证平台由两个关键组件支撑，SMP身份认证软件，无线控制器自带Portal认证页面。经过有线、无线等多种不一样方法统一实名接入，实现网络层实名认证、实名访问权限控制、实名流控和审计等。 考虑到实际应用和学校本身网络现实状况，此次数字话校园网络建设关键表现在主干网和计算机教室建设。 4 XXXXX中学数字校园网络处理方案 4.1 关键网络设计 4.1.1 关键网建设 关键交换平区布署两台基于十万兆平台设计关键交换机，考虑到预算问题，此次只布署一台关键，并配置有双引擎和双电源模块，放置单点故障。 设备本身支持业界优异虚拟化技术VSU虚拟化技术，以后网络规模扩大时候能够实现双机虚拟化热备，提升网络高可用和高稳定性。而且设备本身支持扩展槽，支持校区扩建和网络扩容。 虚拟化 采取VSU虚拟云交换技术，将两台物理关键交换机虚拟为一台逻辑上统一设备，使其能够实现统一运行，从而达成减小网络规模，同时极大提升网络稳定健壮性，控制故障恢复时间。 VSU虚拟云交换特征 使用VSU后，两台关键设备逻辑上变成一台。从而简化了网络拓扑。网络中不再需要生成树、VRRP等复杂协议，大大降低配置维护工作量。接入交换机上联等同于双链路连接到一台关键上，实现跨设备链路聚合。即使一台关键或上联链路中止，也可实现快速切换。切换时间控制在50ms以内，相当于一般数据包转发时延这，不会对业务流畅运行产生任何影响。 硬件无单点故障 XXXX关键骨干交换机RG-S8600系列均在设备本身关键部件上进行了无故障设计。 关键表现在： l 双管理引擎冗余热备 l 双路电源，负载均衡供电 l 6风扇冗余设计，互为备份 l 零故障无源背板设计 操作系统模块化 通用操作系统 RGOS自开发至今，已成为XXXX全线交换路由产品统一系统平台。 RGOS模块化操作系统设计原理图 n 这是一个模块化软件平台（对软件系统进行划分以后，将不一样系统任务分割成部分极少交互可管理子集） n 系统内核经过POSIX连接各功效模块。各功效模块独立，故障隔离，提升新功效开发测试效率和系统稳定性。 n RGOS系统内核经过POSIX接口连接硬件抽象层，扩展支持多个网络产品，如交换机、路由器、出口设备等。经过RGOS开放性设计，能够整合多个产品资源，加速产品和技术发展。利用多个网络产品组网形成基于RGOS智能、融合IP网络。 引擎切换无中止 RG-S7800系列交换机支持UISS无中止引擎切换技术，确保主从管理板切换在1秒间实现，同时在切换过程中，各主机线卡能够继续转发原有数据流，不影响网络业务正常透明运行，实现管理板平滑切换，极大地确保了关键可靠性和网络可用性。 · 具体切换过程及实现 1、切换前状态信息同时 2、主引擎出现故障时，数据不间断转发 3、备份引擎开启，故障引擎重开启，备份引擎下发FIB表更新，待故障引擎重启完成后，新主引擎将状态信息同时到重启后引擎，此时完成切换。 UISS热备份设计能够确保RG-S7800系列交换机主从管理板切换在1秒间实现，同时在切换过程中，各主机线卡能够继续转发原有数据流，不影响网络业务正常透明运行，实现管理板平滑切换，极大地确保了XXXX设备可靠性和网络可用性。 硬件自动保护 现在众多网络病毒全部是经过对网络设备CPU上进行特定协议攻击，利用伪造数据包瞄准具体协议，向网络设备发动攻击。 方案中交换机经过硬件方法对发往控制平面数据进行分类，把不一样协议数据归类到不一样队列然后对不一样队列进行限速，专门对路由引擎进行保护，阻挡外界 DOS 攻击。而且并不影响转发速度，所以CPP能够在不影响性能前提下，灵活且有力预防攻击，而且确保了即使有大规模攻击数据发往CPU时候仍然能够在交换机内部对数据进行区分对外。 CPP提供三种保护方法，来保护CPU利用率。 第一，能够配置CPU接收数据流总带宽，从全局上保护CPU。 第二，能够设备QOS队列，为每种队列设置带宽。 第三，为每种类型报文设置最大速率。 安全防御 本方案全线交换机包含接入、汇聚、关键均可自动检测常见攻击行为，并自动下发相关策略，阻断网络攻击，恢复网络正常。第一可有效保护网络稳定性，阻绝各类攻击，第二无需管理员手工参于，提升管理效率，降低管理运维难度。 基于设备本身安全技术必需基于CPU和端口为关键出发点。现在业界已开发了部分用于防攻击功效模块(比如：ACL、QOS、URPF、SysGuard 、CPP等等)，经过这些功效模块自行建立攻击检测和保护机制，并提供对外管理接口。为了在这个日益重视安全性环境中应对日益复杂攻击，XXXX开发出基础网络保护策略(Network Foundation Protection Policy)，简称NFPP。NFPP技术能够对设备本身实施保护，经过对报文流进行限制、隔离，以确保设备及网络可靠、安全、有效地运行。 NFPP经过接收报文端口或对送往CPU报文进行攻击检测，采取对应保护方法，从而达成对管理面、数据面和控制面保护作用。 4.2 接入设计 接入关键是负责本校区内信息点互联起来，为各个信息点提供layer2层接入功效。尤其是学校网络教学机房和教室有线信息点。 使用千兆接入全网管交换机，实现千兆用户到桌面。接入关键完成以下功效： Ø 结合web portal认证系统，布署802.1.X协议，实现“入网身份认证，也可升级实现主机健康检验、网络安全事件监控和主动防御”。 Ø 经过VLAN定义实现业务划分。 Ø 实现QoS，对数据包进行分类和标识。 Ø 接入网作为用户终端接入校园网唯一接口，在为用户终端提供高速、方便网络接入服务同时，需要对用户终端进行入网认证、访问行为规范控制，从而拒绝非法用户使用网络，确保正当用户合理使用网络资源，并有效预防和控制病毒传输和网络攻击。 Ø 目前数据网安全正遭受严峻挑战，病毒、外部入侵（黑客）、拒绝服务攻击、内部误用和滥用，和多种灾难事故发生，时刻威胁着网络业务运转和信息安全。但和此同时，大多数正在使用网络安全系统全部缺乏真正全局防护能力。当网络受到来自各方面攻击时，整个网络系统稳定性将无从谈起，能够看出，计算机网络安全防护能力是影响网络系统稳定可靠性关键原因之一，网络设备作为网络系统基础平台，其安全防护能力显得尤为关键，尤其是接入层交换机。 4.3 学校网络出口设计 4.3.1 出口智能流控审计 XXXXRG-EG系列网关产品是适适用于多个行业业务加速类网关产品。设备配以高性能 MIPS 多核硬件体系架构，拥有业务加速通道、正确流控、上网行为管理、可视化 VPN 、智能选路、防火墙、高性能NAT、Web 认证等多个功效。凭借着丰富功效，RG-EG 系列能够极有效优化用户网络，规范上网行为，全方位加速关键业务开展，提升业务系统使用体验。 RG-EG 系列设备产品特征和价值： 业务加速通道——成倍提升关键业务访问速度，提升业务系统使用体验 RG-EG系列网关支持业务加速通道功效，能够经过传输数据压缩、传输数据去重、低质线路优化、TCP协议栈优化、多线路捆绑等多个互联网加速技术，有效处理远程访问总部业务系统慢问题，达成成倍提升业务系统访问速度效果，使得业务系统能够真正开展起来。 正确流控——保障关键业务带宽，业务开展通顺流畅 RG-EG系列网关，能够实现对网络带宽资源全方面管控，让带宽空闲时随意使用、带宽担心时按需分配，保障关键业务顺畅开展。RG-EG系列网关能正确识别P2P应用、流媒体、企业办公系统等30大类、1500多个应用特征，可实现愈加精细合理进行带宽管理。 上网行为管理——规范上网行为，提升工作效率 RG-EG系列网关对内网用户上网行为进行精细化管理。屏蔽多种和工作无关网站，营造良好工作气氛，提升工作效率；可对聊天工具、邮件、论坛、微博、搜索引擎等提供安全审计功效，保护内网信息安全。 可视化VPN——VPN隧道内流量可视可控，业务保障无死角 RG-EG系列网关将VPN 配置简化到了极致，只需简单鼠标操作即可完成配置，无需专业人员维护。还能够对VPN 隧道内流量进行查看和控制，建立起可视化VPN 网络，为经过 VPN 开展关键业务提供保障。 智能选路——优选数据传输路径，合理利用多条带宽资源 当网络拥有多条出口线路时，选路计划不合理会造成上网慢、带宽资源浪费等问题。RG-EG系列网关提供一整套完善智能选路体系来处理这些难题。设备会自动分析多条线路情况，选择最优线路，避免出现跨运行商访问、链路使用率低等问题，提升上网速度。 4.4 无线网设计 4.4.1 无线计划 全校采取802.11n技术因为采取了多个无线技术，极大地提升了无线接入带宽和覆盖范围。同环境下比802.11a、b/g模式覆盖范围提升了20%。 智能无线技术计划： 此次使用了业内最领先第二代智能转发架构，使用智能流分类前置设计，该架构充足利用当地转发和集中式转发优势，实现802.11n环境下高速低延时、高安全转发： 当地转发类流：时延敏感类数据，快速转发，延迟最低，更适合语音、视频直播等校园网应用； 集中转发类流：安全敏感类数据，集中加解密处理，适合学校OA、选课、一卡通等校园网应用； 网络不中止设计： 无线网络中AC控制AP，一旦AC出现故障AP，或链路出现问题，AP无法连接到AC就无法工作，AC成为了整个无线网络中单点故障。“AP智能转换技术”根本处理了这个忧虑，将无线网络可用性提升到一个新高度。“AP智能转换技术”工作模式以下： Ø 当AC故障时，AP自动切换到“胖”AP工作模式下，其配置信息为先前AC下发信息； Ø AP根据，先前配置策略信息继续工作，对用户业务不影响； Ø 工作在此状态下AP，继续探测AC状态，当AC恢复正常，AP和AC恢复建立正常连接； Ø AP恢复到原有智能瘦AP工作模式下。 智能探测：AP定时、自动探测AC可用状态，立即反馈网络情况； 智能转换：AP自动依据AC状态，进行“胖”、“瘦”AP工作模式转换； 有线无线统一管理 无线校园网大规模布署，需要无线AP数量极大，众多无线AP分布在校园各个角落，怎样管理、监控这些无线设备，立即发觉问题，定位故障。有效无线管理方法，是建好无线校园必不可少条件。无线管理系统实现了： Ø 无线、有线连接拓扑统一； Ø 无线、有线设备状态统一； Ø 无线、有线报警信息统一； Ø 无线、有线审计信息统一； 经过集中式统一有线、无线网管系统，能够实现网络中有线网络和无线网络统一便捷配置，实现有线无线一体化高效管理。无线管理系统统一拓扑展示了用户网络中有线、无线设备链接方法和设备工作状态。 有线、无线设备统一拓扑显示 管理人员能够直观查看到，用户接入无线状态、无线信号覆盖情况等。包含信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看用户漫游情况，能够随时了解最终接入用户情况，并对其接入行为进行审计。有线无线一体化网管系统，能够极大地减轻无线管理复杂程度，做到无线问题立即定位、立即处理。 有线无线统一认证 无线网络是有线网络补充和延续，无线一定要和有线系统一样进行认证： Ø 统一账户管理：有线、无线采取RG-ESS 一套数据库 Ø 统一认证方法：有线、无线均可使用802.1x、Web Ø 统一用户端：师生使用一套用户端系统，登录有线、无线两个网络 有线、无线统一认证数据库，避免了用户有线一套账号，无线另一套账号，不能统一认证管理问题。用户采取统一身份，灵活登录有线、无线两个网络。 用户能够在上选择用无线网卡，灵活选择用802.1x方法、Web方法进行无线认证，认证方法灵活选择，延续了用户使用习惯，极大地降低了维护成本； 有线、无线管理策略也要统一，比如：不能有线网络在晚上11点钟断网，而无线网络依旧能够使用。 无线扩展 无线网络和有线网络一样是教育信息化建设基础，为师生提供了更灵活、更便捷接入方法，伴随无线网络建设和发展，无线正在融入到学校信息化、多业务各个方面，为师生提供出色无线校园生活体验。 无线网络建设需要满足未来学校多个信息化应用，下一代无线校园网处理方案，深刻了解校园信息化业务发展，其处理方案以其优异性、前瞻性为学校教育信息化建设未来提供了坚实发展平台。 下一代无线校园网采取了802.11n高带宽技术，为学校教学、科研、管理、服务等各项应用提供了基础无线平台： 无线多媒体教室、无线科研数据传输、无线IPv6应用、无线一卡通、无线视频监控、无线访问视频课程、无线语音、无线网络运行商租赁。 无线课堂最多应用为电子书包： 电子书包通常指利用信息化设备进行教学便携式终端。大家通常把它定义为一个以学生为主体、个人电子移动终端和网络学习资源为载体，贯穿于预习、上课、作业、教导、评测等学习各个步骤。此次无线也给后续电子书包建设提供思绪。 4.4.2 无线信息统计 此次对学校楼宇进行了实地勘探，关键分为三个区域进行无线布署，分别是教学楼（包含逸夫楼），办公楼和室外。 办公楼关键AP布放点位为会议室和办公区域，逸夫楼AP放置也集中在教室走廊，办公机房处。具体AP点位统计表以下： 楼宇 楼层 AP数量（包含微AP） POE供电交换机 尚德楼 1 7 1 2 7 3 7 4 7 5 1 时雨楼 1 9 1 2 9 3 9 4 9 星耀楼 1 7 2 2 7 3 7 4 7 星耀楼图书馆 1 1 1 2 1 3 1 试验楼 1 4 1 2 4 3 4 总计 108 6 4.5 安全设计 4.5.1 数字化校园安全设计思想 数字化校园安全设计需要考虑用户身份安全、主机安全、网络安全、安全策略管理等四个关键方面。用户身份安全，指用户以实名接入网络，只有经过实名认证用户才能使用网络；主机安全指只有终端主机本身是健康，如安装了杀毒软件，安装了最新补丁，才许可接入校园网络；网络安全指在网络中数据要正当，不能有攻击或异常，同时，师生在校园网中网络访问行为要安全，如学生限制访问成人网站或互联网娱乐类视频等；用户访问安全，是指你在网络中访问可追溯，出现攻击可定位到人。总而言之，以用户为关键安全设计理念是保障“让正确人，使用健康主机，访问安全网络，做规范事情。”